Wczoraj (tj. 23.07) została ogłoszona nowa podatność Bluetooth (CVE-2018-5383), która występuje w części jego implementacji. Błąd spowodowany jest brakiem dostatecznej walidacji parametrów krzywych eliptycznych używanych do wygenerowania klucza publicznego podczas wymiany klucza metodą Diffiego-Hellmana.
Nieautoryzowany atakujący wykorzystując podatność ma możliwość przechwycenia i rozszyfrowania ruchu oraz wysyłania spreparowanych wiadomości. Atakujący musi znajdować się w zasięgu Bluetooth, aby następnie przeprowadzić atak Man-in-the-middle i przechwycić klucze używane przez podatne urządzenie.
Podatne urządzenia według producentów (na dzień dzisiejszy):
| Vendor | Status | Date Notified | Date Updated |
|---|---|---|---|
| Apple | Affected | 18 Jan 2018 | 23 Jul 2018 |
| Broadcom | Affected | 18 Jan 2018 | 19 Jun 2018 |
| Intel | Affected | 18 Jan 2018 | 23 Jul 2018 |
| QUALCOMM Incorporated | Affected | 18 Jan 2018 | 06 Feb 2018 |
| Microsoft | Not Affected | 06 Feb 2018 | 20 Jul 2018 |
| Android Open Source Project | Unknown | 18 Jan 2018 | 18 Jan 2018 |
| Bluetooth SIG | Unknown | 06 Feb 2018 | 06 Feb 2018 |
| Unknown | 19 Mar 2018 | 19 Mar 2018 | |
| Linux Kernel | Unknown | 05 Mar 2018 | 05 Mar 2018 |
CERT PSE zaleca użytkownikom i administratorom zapoznanie się ze szczegółami podatności i zastosowanie niezbędnych aktualizacji.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny